Pourquoi openssl n'est-il pas backporté ?

Pause Café
#1

Bonjour,

En cherchant à upgrader sur une Squeeze le paquet openssl depuis sa version 0.98… vers une version 1.0.1 à minima, je me suis rendu sur le site Debian Packages pour me rendre compte avec effroi que ce paquet ne semble jamais avoir été backporté pour aucune version de Debian.

Je me pose donc la question de savoir : pourquoi les paquets très importants comme openssl ne sont ne sont-ils pas systématiquement backportés (pardon, “rétro-portés”) ?

Et ensuite, quelle est la manière la plus propre de faire cette upgrade ?
Je sais que la réponse est évidemment “passer sous Debian Wheezy” (ou plutôt Jessie maintenant) mais c’est plus pour ma culture personnelle.

Merci d’avance :slightly_smiling:
OpenPanic

#2

Il semble que tu confondues dernière version et version sûre.

Quel est l’ intérêt du rétro portage à tout prix? Pire, ça te ferait utiliser des versions neuves au lieu de versions éprouvées. Bref, CNES une mauvaise idee

#3

À noter que les patchs de sécurité sont tout de même appliqués, et donc même si tu es en version 0.98o debian (0.9.8o-4squeeze21) tu n’auras pas les failles connues qui sont exploitables sur openssl 0.98o vanilla. Cf le changelog.

#4

Bonjour fran.b, merci pour ta réponse.

Cependant, je ne confonds pas ces deux notions bien distinctes que sont la sécurité et la fiabilité.
Debian Squeeze (LTS) est désormais old-old-stable. Les paquets de squeeze-backports sont donc bel et bien stables (puisque Debian Wheezy est désormais old-stable). Dites-moi si je me trompe mais il n’y a donc pas de problématique de fiabilité qui rentre en compte ici n’est-ce pas ?

Imaginons que j’aie besoin d’une fonctionnalité de openssl 1.0.1 sous Debian Squeeze (openssl ou autre chose, disons wget).
La seule solution est-elle la compilation (ou encore le backport maison…) ?

EDIT : merci kna pour ta réponse que je confirme :slightly_smiling:

#5

Si tu as besoin d’une fonctionnalité de openssl-1.0 alors la bonne solution est de passer à Jessie afin d’avoir un ensemble cohérent, et sinon soit d’utiliser pour ton programme précis et seulement lui la nouvelle version (via LD_PRELOAD par exemple) ou bien de faire un backport. Mais il faut se méfier, Même si elle est quasi systématique, la compatibilité descendante n’est pas toujours acquise.

#6

Ok merci bien, ça confirme ce que je pensais.
Je suis quand-même étonné que ces paquets ne soient pas backportés alors que des projets/packages dont l’importance/la renommée n’est pas si forte le sont.

#7

Un paquet rétroporté est par définition moins fiable qu’un paquet stable qui ne voit passer que des mises-à-jour de sécurité.

#8

[quote=“OpenPanic”]Ok merci bien, ça confirme ce que je pensais.
Je suis quand-même étonné que ces paquets ne soient pas backportés alors que des projets/packages dont l’importance/la renommée n’est pas si forte le sont.[/quote]
Bienvenue sur Debian :023
Beaucoup de sysadmin te diront le contraire : tant que ça marche mieux vaut ne pas changer les versions…

#9

Ce qui n’est pas l’objet des patchs de sécurité … nouvelle fonctionnalité veux dire possible instabilité ce qui est dommage pour une version dite stable.
Si une tu souhaite une fonctionnalité d’une nouvelle version alors il faut que tu change de version et si cela implique une monté de version de ton OS c’est a toi de choisir :wink:

#10

[quote=“OpenPanic”]Ok merci bien, ça confirme ce que je pensais.
Je suis quand-même étonné que ces paquets ne soient pas backportés alors que des projets/packages dont l’importance/la renommée n’est pas si forte le sont.[/quote]

Il y a un changement substantiel entre les versions openssl 0.9 et openssl 1.0, j’avais cherché à l’époque, je ne me rappelle plus lequel. Quand la faille HeartBleed est sortie, j’utilisais mac osx 10.4 et il n’y a pas eu de mise à jour pour combler la faille, alors je me suis dit, je ne suis pas plus con qu’un autre, je vais compiler la dernière version et l’installer ni vu ni connu.

La bonne idée ! :030

Les navigateurs se sont gelés ( plus possible d’avoir la main dessus ) dès l’installation de la dernière version et heureusement que je clonais à l’identique toute les semaines sur un autre disque dans la même tour et j’ai pu récupérer l’ancienne version. Sans éteindre l’appareil, sinon j’étais mort.

vu sur openssl.6102.n7.nabble.com/0-9-8 … 44547.html

Programs compiled against 0.9.8 headers will need to be recompiled before
linking with 1.0.1 libraries or using them with 1.0.1 DLLs.
Cela veut dire que puisque les navigateurs dépendent d’openssl, si tu veux réussir, il faut que tu recompiles aussi les sources des navigateurs avec lien avec la nouvelle version d’openssl. Bonjour le travail.

Voir aussi :

upstream.rosalinux.ru/compat_rep … eport.html

Le changelog entre la 0.98 et la 1.0.0 :

upstream.rosalinux.ru/changelogs … gelog.html

Copieux !


Alors cela ne m’étonne pas qu’openssl ne soit pas rétroporté !

1 J'aime